华为交换机ACL如何使用及原则

最新推荐文章于 2024-06-27 23:04:04 发布
最新推荐文章于 2024-06-27 23:04:04 发布
阅读量1.2w 收藏 61
点赞数 5
分类专栏: HCIP 文章标签: acl
原文链接:https://boke.wsfnk.com/archives/480.html
版权

ACL(访问控制列表)的应用原则:
  标准ACL,尽量用在靠近目的点
  扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
  方向:在应用时,一定要注意方向

ACL分类

基本ACL   #范围为2000~2999   可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则
高级ACL   #范围为3000~3999   既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则

二层ACL   #范围为4000~4999   可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等</span>
自定义ACL  #范围为5000~5999   可根据偏移位置和偏移量从报文中提取出一段内容进行匹配</span>

场景一:(机房交换机不允许非管理网络ssh登录)

#创建基于命名的基本acl
  acl name ssh-kongzhi 2001
  rule 5 permit source 192.168.1.0 0.0.0.255
  rule 10 deny

#在vty接口应用acl 2001
  user-interface vty 0 4
  acl 2001 inbound
  authentication-mode aaa
  protocol inbound all

场景二:(如下图,主机一不能ping通http服务器,但是可以访问)

    #创建高级acl
acl number 3001
rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq www
rule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0

#在接口的上应用acl
  interface GigabitEthernet0/0/2
   traffic-filter inbound acl 300

场景三:(自反acl的应用,类是于防火墙)

    #目标(1):在icmp协议上,实现外部网络中,只有smokeping主机能ping通内网,其余外部主机不能ping内网地址,并且要求内网可以ping外网
    #目标(2):不让外部网络通过tcp协议连接内部,但是内部可以用tcp连接外部(实际意义不大,但是很形象,凡是设计tcp的应用协议都受控)

#分析(1):先允许smokeping的主机ping内网,ping包分(去包:echo,回包:echo-raly),在公网出口的入方向拒绝所有ping的去包类型echo,作用与所有主机</span>
#分析(2):tcp协议,需要建立三次握手,只有第一次中不带ack标志,其余都带有ack,(这表示发起tcp连接的一方第一个包不带ack,根据这个在公网出口入方向进行设置)</span>

#创建acl

  acl name kongzhi 3001
  rule 5 permit icmp source 6.6.6.6 0
  rule 10 deny icmp icmp-type echo
  rule 15 permit tcp tcp-flag ack
  rule 20 deny tcp

#应用到公网出口上

  interface GigabitEthernet0/0/1
  ip address 4.4.4.4 255.255.255.0
  traffic-filter inbound acl name kongzhi

场景四:(基于时间的acl应用)

目标:教师每天6点到23点,可以上网;学生周一到周五8点半到22点可以上网,周六周日两天任何时刻都上网

分析:要实现基于时间的,就需要进行划分流量,然后阻断,所以,时间可以看成
    教师每天早上0点到6点半,以及晚上23点到23点59不能上网
    学生周一到周五的早上0点到8点半,以及晚上22点到23点59不能上网

#第一:配置时间段(由于不支持"23:0 to 6:30",所以写成下面这种形式)
  time-range jiaoshi-deny 00:00 to 6:30 daily
  time-range jiaoshi-deny 23:00 to 23:59 daily
  time-range xuesheng-deny 00:00 to 8:30 working-day
  time-range xuesheng-deny 22:00 to 0:0 working-day

#第二:创建配置高级acl
  acl number 3001
  rule deny ip source 192.168.21.0 0.0.0.255 time-range jiaoshi-deny
  acl number 3002
  rule deny ip source 192.168.22.0 0.0.0.255 time-range xuesheng-deny

#第三:配置流分类(对匹配ACL 3001和3002的报文进行分类)
  traffic classifier d_jiaoshi
  if-match acl 3001
  traffic classifier d_xuesheng
  if-match acl 3002

#第四:配置流行为(动作为拒绝报文通过)
  traffic behavior d_jiaoshi
  deny
  traffic behavior d_xuesheng
  deny

#第五:配置流策略(将流分类d_jiaoshi与流行为d_jiaoshi关联,组成流策略,这里为了方便直接将后面应用到一个接口上,将上面两个对应关系进行了合计)
  traffic policy all_deny
  classifier d_jiaoshi behavior d_jiaoshi
  classifier d_xuesheng behavior d_xuesheng

#第六:在接口上应用流策略
  interface gigabitethernet 0/0/2
  ip address 114.114.114.1 255.255.255.0
  traffic-policy all_deny outbound

NoobMaster--CISSP
关注
  • 5
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为交换机配置acl规则
yangnianlong的博客
08-13 9180
华为交换机配置acl规则 1、实验拓扑 2、设备IP配置 3、基础环境组网配置 进入核心交换机 system-view [Huawei]sysname jigui-sw [jigui-sw]vlan batch 10 20 30 [jigui-sw]interface GigabitEthernet 0/0/1 [jigui-sw-GigabitEthernet0/0/1]port link-type access [jigui-sw-GigabitEthernet0/0/1]port default
华为交换机路由器ACL原理+最常用操作配置手册
11-23
华为交换机路由器ACL原理+最常用操作配置手册
华为---配置基本的访问控制列表(ACL
最新发布
weixin_43773979的博客
06-27 1600
访问控制列表 ACL
ACL--访问控制列表
qjwthink的博客
08-28 378
目录 一、什么是访问控制列表 二、访问控制列表的处理原则 三、访问控制列表的分类 1、标准访问控制列表 2、扩展访问控制列表 四、基本命令操作 总结 一、什么是访问控制列表 作用:读取三四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部信息:源、目IP 四层头部信息:TCP/UDP协议、源、目端口号 访问控制列表的调用方向: 入:流量将要进入本地路由器,将被本地路由器处理 出:已经被本地路由器处理过了,流量将离开本地路由器 策略做好后,在入接口调用和出口调...
华为数通——ACL
CLONS的博客
06-20 1323
ACL判别依据是五元组:源IP地址,源端口,目的IP地址,目的端口、协议。设置规则拒绝TCP协议,这里精准地址,反掩码0.0.0.0=0,到目的172.16.10.2,这里精准地址,反掩码0.0.0.0=0,端口23,eq=等于。设置规则拒绝icmp协议(ping)源地址范围,反掩码0.0.0.255,到172.16.10.2,这里精准地址,反掩码0.0.0.0=0。高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。一个接口的同一个方向,只能调用一个ACL
访问控制列表——ACL
肥猫警长的博客
08-27 1505
话不多说,直接上内容,明天我想讲一下NAT,nat更有意思一点哈哈哈。 目录 一、ACL简介 ACL作用 访问控制列表的调用的方向: 访问控制列表的处理原则 访问控制列表类型: ACL实验过程 第一部分: 第二部分: 总结 一、ACL简介 ACL作用 读取三层、四层的头部信息,根据预先定义好的规则对流量进行筛选、过滤。 三层头部信息:源ip和目标ip 四层头部信息:TCPUDP协议、源端口号和目标端口号 访问控制列表的调用的方向: 入:流量将要进入本地路由器,将被.
华为交换机配置ACL
junlan的博客
09-05 1万+
华为交换机配置ACL
闲谈华为交换机5700 ACL配置(亲测)
weixin_33943347的博客
12-18 1475
最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于监控与视频会议,为了带宽,防火墙就基本没啥作用了,直接拆了不用,但还是要保证安全,只能在5700上做ACL安全策略,所以研究了一下ACL的配置。一、说明:1、华为交换机ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classi...
华为交换机ACL配置
jks212454的博客
07-01 3033
华为交换机ACL配置一、网络环境1.网络拓扑2.网络互通链接二、ACL要求三、ACL实施1.部门A禁止访问部门B2.服务器区域ACL配置3.部门D不能访问部门C 一、网络环境 1.网络拓扑 2.网络互通链接 中小型局域网规划实战案例 二、ACL要求 1.要求部门A不能访问部门B 2.要求所有部门不可以ping通服务器区域,但能访问web服务器 3.部门D不能访问部门C 三、ACL实施 1.部门A禁止访问部门B [SW2]acl 3001 [SW2-acl-adv-3001]rule deny ip sou
华为交换机acl的配置
热门推荐
qq_37797316的博客
01-16 3万+
一、说明: 1、华为交换机ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior; 3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流,使...
华为交换机命令手册.rar
08-23
华为交换机命令手册》是华为网络设备管理的重要参考资料,主要针对华为交换机的配置、管理和维护提供了详尽的操作指南。这份手册分为两个部分,一部分是以CHM( Compiled Help Manual)格式的手册,通常便于离线...
华为各种交换机配置实例
11-29
(1)创建(进入)vlan2 [SwitchA]vlan 2 (2)将端口E0/1加入到vlan2 [SwitchA-vlan2]port ethernet 0/1 (3)创建(进入)vlan3 [SwitchA-vlan2]vlan 3 (4)将端口E0/2加入到vlan3 [SwitchA-vlan3]port ethernet 0/2
华为交换机ACL控制列表设置.doc
09-26
华为交换机ACL控制列表设置 华为交换机ACL(Access Control List,访问控制列表)是一种用于控制网络流量的机制,可以根据不同的来源、目的、协议、端口等信息对网络流量进行过滤和限制。本文档将介绍华为交换机ACL...
华为交换机S5700全系列图标
02-21
华为交换机S5700系列是华为公司推出的一款企业级千兆以太网交换机,主要用于构建高性能的局域网络。该系列包括多种型号,如S5700-28C-PWR、S5700-52P-SI等,满足不同规模企业的网络需求。本文将详细讲解S5700系列...
华为交换机实验拓扑.rar
09-22
学习如何在华为交换机上创建和应用ACL是网络安全的基础。 6. **QoS(服务质量)配置**:QoS机制可以确保关键业务的带宽需求,如VoIP和视频会议。通过华为交换机,我们可以设置优先级队列、带宽限制和流量整形等策略...
华为ACL配置命令详解
SuSe的专栏
01-29 6253
ACL(Access Control List)即访问控制列表,可以在路由器、交换机等设备上进行配置,用来限制网络中数据流的访问,实现基本网络安全控制。ACL通过匹配数据包的源地址、目的地址、协议类型、端口号等信息来控制数据流在网络中的流向。ACL是网络设备中常用的安全配置之一,通过限制数据流的访问,提高了网络的安全性。文章从ACL类型、配置命令、常用命令等多个方面进行了详细的阐述,希望对大家在实际应用中使用ACL有所帮助。
华为路由交换由浅入深系列(九)-华为路由器交换ACL的应用与经验总结
网络之路Blog(其他平台同名)
02-28 3920
1.ACL 概述 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 ACL 通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC 地址、目的MAC 地址、源IP 地址、目的IP 地址、端口号等。 2.案例背景[交换机] 网络环境拓扑如下(客户端接
华为ensp中基本acl 原理及配置命令(详解)
博客之路,前途漫漫
04-05 4960
华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。ACL的匹配规则。
华为配置命令——ACL配置
zsrzy的博客
04-23 5778
华为配置命令ACL设置
华为交换机acl应用到vlan
07-29
华为交换机ACL(访问控制列表)可应用到VLAN(虚拟局域网),以提供网络安全保护。 ACL是一种通过规则来控制和管理网络流量的技术。它可以根据源IP地址、目的IP地址、上层协议、源端口、目的端口等条件,对网络流量进行过滤和限制。 在华为交换机上,可以通过配置ACL规则来限制特定VLAN中的流量。首先,需创建一个ACL,定义所需的过滤条件,如源IP地址、目的IP地址以及允许或拒绝的协议和端口号等。然后,通过应用此ACL到指定的VLAN接口,来实现对该VLAN中流量的控制。 当ACL应用到VLAN后,它可以过滤进出此VLAN的数据包。例如,可以限制某个特定VLAN中的主机只能与特定的目标IP地址进行通信,或者拒绝该VLAN中的主机访问某些特定的服务或端口。 通过ACL应用到VLAN,可以增加网络的安全性,限制特定VLAN中的主机访问外部网络或其他受保护的网络。同时,也可以提高网络性能和管理效率,避免网络资源被滥用或遭受不必要的攻击。 总之,华为交换机ACL功能可以应用到VLAN中,有效地控制和管理特定VLAN中的网络流量,提供更安全的网络环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值